Οδηγός διασφάλισης VoIP Τηλεφωνικών Κέντρων – Μέρος Α’

Η διασφάλιση του Τηλεφωνικού Κέντρου βασίζεται σε ένα σύνολο ενεργειών, οι οποίες έχουν στόχο να ανιχνεύσουν και να διακόψουν μία επίθεση. Σε δεύτερη φάση, τα αντίμετρα θα αποκαρδιώσουν τον επιτιθέμενο να συνεχίσει την επίθεση, προτιμώντας να βρει έναν πιο εύκολο στόχο.

Στο άρθρο αυτό παρουσιάζουμε ένα μοντέλο διασφάλισης, το οποίο επιτυγχάνει διακοπή επιθέσεων προς ένα Τηλεφωνικό Κέντρο VoIP σε πραγματικό χρόνο. Παράλληλα, η υλοποίηση του μοντέλου διασφάλισης αποκλείει τον επιτιθέμενο από το να συνεχίσει την επίθεση.
Είναι γεγονός πως το θέμα διασφάλισης έχει πάρει διαστάσεις, διότι τα περισσότερα Τηλεφωνικά Κέντρα δεν τηρούν καν τους βασικούς κανόνες ασφαλείας. Έτσι λοιπόν γίνονται πολύ εύκολοι στόχοι, ακόμα και από μη έμπειρους φιλόδοξους επιτιθέμενους. Είναι εξακριβωμένο πως οι περισσότεροι επιτιθέμενοι δεν θα ασχοληθούν με εγκαταστάσεις που είναι διασφαλισμένες σωστά, μιας και είναι λογικό να ψάχνουν όλοι τον ευκολότερο στόχο, αποσκοπώντας σε μια νύχτα να κερδίσουν χρήματα διαπράττοντας μια ηλεκτρονική απάτη.
Το μοντέλο διασφάλισης περιλαμβάνει αυξημένα αντίμετρα και μηχανισμούς πρόληψης και καταστολής ενδεχόμενης απειλής. Η μαεστρία της συνταγής δεν βρίσκεται σε συγκεκριμένο λογισμικό, αλλά στο σύνολο των ενεργειών οι οποίες τείνουν να εκμηδενίσουν το ρίσκο επίθεσης σε όλα τα επίπεδα, να διορθώσουν λάθη και να συντηρήσουν σωστά το Τηλεφωνικό Κέντρο.
Για πρακτικούς λόγους θα αναλύσουμε το σενάριο διασφάλισης ενός VoIP Τηλεφωνικού Κέντρου, σε πέντε επίπεδα (εικόνα 1). Στο πρώτο από τα δύο μέρη του οδηγού, θα επικεντρωθούμε στις παραμέτρους που συμβάλλουν στη διασφάλιση του εσωτερικού δικτύου του Κέντρου. Στο δεύτερο μέρος θα παρουσιάσουμε τις υπόλοιπες ρυθμίσεις που συμβάλλουν στην ολοκλήρωση της διασφάλισης του παρουσιαζόμενου μοντέλου. Το δεύτερο μέρος θα ολοκληρωθεί με την παρουσίαση της υλοποίησης, ώστε η τηλεφωνική κλήση να είναι ασφαλής από άκρο σε άκρο.
Το συγκεκριμένο μοντέλο της παρουσίασης είναι ενεργό και υλοποιημένο σε ναυτιλιακή εταιρεία. Διαθέτει VLAN με 2 άλλα γεωγραφικά σημεία στον πλανήτη και διασύνδεση με πλοία του στόλου. Το μοντέλο το οποίο θα περιγράψουμε στα επόμενα κεφάλαια, έχει περισσότερα ανεπτυγμένα στοιχεία από την παρούσα εγκατάσταση, λόγω ανάπτυξης νέων δυνατοτήτων. Είναι μια ολοκληρωμένη λύση και υλοποιείται ανάλογα με τις ανάγκες και τις απαιτήσεις της εταιρείας ή του Οργανισμού.
Οι γραμμές internet της εγκατάστασης διαφέρουν σε ταχύτητες ανάλογα την τοποθεσία. Στα κεντρικά υπάρχει μισθωμένη γραμμή με σκοπό να εξυπηρετεί data, voice και video IP επικοινωνίες μέσω VPN, χωρίς τη διαμεσολάβηση MPLS. Τα επιμέρους τμήματα και τοποθεσίες του δικτύου λειτουργούν με ADSL και στα πλοία οι ταχύτητες είναι ακόμα μικρότερες ενώ οι συνδέσεις δρομολογούνται και μέσω δορυφόρου.

Ο πυρήνας
Στο πρώτο επίπεδο (με το οποίο θα ασχοληθούμε περισσότερο) υλοποιείται το σημαντικότερο τμήμα του μοντέλου. Ο πυρήνας περιλαμβάνει το Τηλεφωνικό Κέντρο, τα εσωτερικά τερματικά φωνής ή βίντεο και φυσικά το εσωτερικό (τοπικό) δίκτυο της εγκατάστασης. Η διασφάλιση του Τηλεφωνικού Κέντρου εξαρτάται από μεγάλο πλήθος ενεργειών. Το βασικό συστατικό της διασφάλισης του Τηλεφωνικού Κέντρου βασίζεται στην εφαρμογή των τελευταίων ενημερώσεων σε επίπεδο λειτουργικού, αλλά και ενημερώσεων που αφορούν στις λειτουργίες του. Η ενημέρωση του συστήματος προσφέρει τόσο ανασχεδιασμένες τεχνικές και νέα χαρακτηριστικά που συμβάλλουν στη διαχείριση των παραμέτρων ασφαλείας, όσο και διορθώσεις σε επιμέρους τμήματα κώδικα, στα οποία έχουν βρεθεί αδυναμίες ή τρύπες ασφαλείας. Το θετικό της χρήσης open source είναι πως στα παρασκήνια, μια μεγάλη ομάδα ανθρώπων ασχολείται με το να «μπαλώνει» τρύπες και να βελτιώνει τη λειτουργία του Τηλεφωνικού Κέντρου.
Ο τρόπος με τον οποίο εφαρμόζεται η ενημέρωση ενός Τηλεφωνικού Κέντρου διαφέρει από διανομή σε διανομή. Φροντίστε να διαλέξετε διανομή η οποία ενημερώνεται εύκολα ή διανομή της οποίας το επίπεδο δυσκολίας είναι προσιτό στις δεξιότητές σας. Μεγάλη προσοχή χρειάζεται ώστε η διαδικασία αναβάθμισης να μη βλάψει το σύστημά σας και πολύ περισσότερο να μη το χαλάσει. Θυμηθείτε πως τα συστήματα με Asterisk «τρέχουν» Linux (συνήθως CensOS), οπότε αν δεν είστε γνώστης αποφύγετε την ενέργεια. Τέλος, πάντοτε διαθέστε χρόνο να διαβάσετε τις συνοδευόμενες οδηγίες για την τρέχουσα αναβάθμιση. Ακόμα και οι πιο έμπειροι μηχανικοί που κάνουν τη διαδικασία «στα τυφλά», πρέπει να διαβάζουν τις τρέχουσες σημειώσεις. Για παράδειγμα, μία από τις διανομές έχει υποσημείωση για την τελευταία έκδοση, τι ενέργεια χρειάζεται αν διακόπτεται η διαδικασία κατά τη διάρκεια ενημέρωσης της SQL.

Παραμετροποίηση και ασφάλεια
1. Κωδικοί και επαφές
Μετά την εγκατάσταση λοιπόν, έρχεται η παραμετροποίηση του συστήματος η οποία περιλαμβάνει :
1) Την τηλεπικοινωνιακή οργάνωση, η οποία οργανώνει την αριθμοδότηση, τους αυτοματισμούς κατά την είσοδο ή έξοδο κλήσεων, τη σειρά προτεραιότητας και άλλα πολλά.
2) Τη ρύθμιση του συστήματος (codecs, ρυθμίσεις) ώστε να λειτουργεί άψογα με τα επιμέρους πρόσθετα υλικά όπως κάρτες και με το προστιθέμενα πακέτα λογισμικού (modules) που θα δώσουν νέες δυνατότητες και ευελιξία στο σύστημα.
3) Τη διασφάλιση του Κέντρου.
4) Τη διασύνδεση με απομακρυσμένα σημεία του δικτύου.
Ο λόγος της αναφοράς στη διαδικασία βρίσκεται στο γεγονός πως ακόμα και στη διαδικασία εγκατάστασης, το λογισμικό «ζητάει» κωδικούς για το βασικό διαχειριστή. Είναι πολύ σημαντικό να καταχωρήσουμε κάτι δύσκολο. Κωδικοί τύπου Summer1969 ή 123456, δεν συνιστώνται, καθώς είναι εύκολοι στην ανάκτηση σε περίπτωση επίθεσης. Χρησιμοποιήστε κωδικούς μεγάλους, δύσκολους, οι οποίοι περιλαμβάνουν μικρά κεφαλαία γράμματα, αριθμούς και σύμβολα. Πάντα συνιστώ 25ψήφιους κωδικούς, ακόμα και στις συσκευές. Οι κωδικοί αυτοί παράγονται εύκολα από λογισμικό που λειτουργεί σαν γεννήτρια κωδικών και επικολλούνται εύκολα ακόμα και σε συσκευές μέσω του web interface ή του provisioning (αυτόματη διαδικασία ρυθμίσεως συσκευών κατά την εγκατάσταση).

«Οκ, έβαλα τον κωδικό #@dsFfge$#%&*(er6344W%WET$Y%#^) και τώρα το Κέντρο μου είναι ασφαλές». Η συγκεκριμένη δήλωση είναι 100% λάθος. Οι οντότητες SIP ή SIP συσκευές, πρέπει πάντα να είναι κλειδωμένες, ώστε ο απλός χρήστης να μην έχει πρόσβαση σε κωδικούς και ρυθμίσεις. Μη ξεχνάτε πως συνήθως η παραβίαση έρχεται τις περισσότερες φορές από το εσωτερικό του δικτύου. Το Τηλεφωνικό Κέντρο δεν διαθέτει μόνο ένα κωδικό. Για παράδειγμα, η διανομή Elastix διαθέτει πολλές υπηρεσίες και μικρότερους διακομιστές και διεπαφές που απαιτούν συνθηματικό. Οι κατασκευαστές έχουν ήδη καταχωρήσει στο Κέντρο κωδικούς, προς διευκόλυνση του διαχειριστή. Αν αυτοί δεν αλλαχθούν, προσφέρουν πολύ εύκολη πρόσβαση στη διαχείριση. Μία καλή πηγή για την εν λόγω διανομή είναι ο οδηγός «Elastix without tears» ,ο οποίος θα μπορέσει να σας βοηθήσει στα πρώτα σας βήματα.

2.Υπηρεσίες και «δαίμονες»
Ένα μέτρο προστασίας που επίσης συστήνουμε ανεπιφύλακτα, είναι η καθολική απενεργοποίηση όποιας υπηρεσίας δεν χρησιμοποιείται. Το Τηλεφωνικό Κέντρο δεν πρέπει να χρησιμοποιείται σαν Κέντρο/exchange/ftp/apache/web server/dlna/. Όσο και αν η υπολογιστική ισχύς του Κέντρου το επιτρέπει, μη «φορτώνετε» το λογισμικό με νέους διακομιστές, «όμορφες ή βολικές» διεπαφές, γιατί έτσι αυξάνετε το ρίσκο παρουσίασης νέων κινδύνων στην ασφάλεια του συστήματος. Αν μπορείτε, αποφύγετε τελείως το γραφικό περιβάλλον παντού και πάντα και εκτελέστε τη διαδικασία παραμετροποίησης μέσω κονσόλας. Τέλος, μπορείτε να δημιουργήσετε «κλειδιά» τα οποία να χρησιμοποιείτε για περιπτώσεις απομακρυσμένης πρόσβασης στο Κέντρο. Έτσι δεν θα υπάρχει όνομα και κωδικός να κλαπούν σε περίπτωση επίθεσης. Περισσότερες πληροφορίες για τον τρόπο που αλλάζονται οι κωδικοί καθώς και την τοποθεσία τους, υπάρχουν μέσα στους οδηγούς που διατίθενται μαζί με τις αντίστοιχες διανομές.
3.Τοπικό δίκτυο
Στο επίπεδο τοπικού δικτύου αφιερώστε ένα ολόκληρο subnet για αποκλειστική χρήση φωνής. Δεν συνιστάται να μπλέκονται δίκτυα, τόσο για θέματα ασφαλείας όσο και για θέματα ποιότητας υπηρεσίας και επίλυσης προβλημάτων. Η επιλογή αριθμοδότησης είναι προσωπική επιλογή. Σας παροτρύνουμε να μη χρησιμοποιήσετε κάτι κλασικό σαν το 192.168.0.x. Προτιμήστε τη ρύθμιση δικτύου σας στο 172.16.χ.χ και να έχετε υπόψη σας πως αυτό το subnet δεν πρέπει να επικαλύπτει (overlap) αυτό του VPN. Με άλλα λόγια, το δίκτυο είναι επιθυμητό να έχει ασυνήθιστη αριθμοδότηση, αρκεί να είναι απλό το συνολικό αποτέλεσμα για το διαχειριστή.
Διασφαλίζοντας λοιπόν τους κωδικούς, τις ρυθμίσεις, τις ενημερώσεις και το δίκτυο, έχουμε ήδη χτίσει τη βάση στο φυσικό τοπικό δίκτυο. Συνεχίζοντας τη διαδικασία, άμεσος στόχος είναι να περιορίσουμε την πρόσβαση στο Κέντρο από τον έξω κόσμο. Αν ήδη έχετε πειραματιστεί με Asterisk και πολύ περισσότερο με Elastix ή παρόμοια διανομή, θα γνωρίζετε πως το τείχος προστασίας στην αρχή δεν είναι ενεργοποιημένο. Δεν το ενεργοποιούμε όμως πριν την ολοκλήρωση των ρυθμίσεων. Αυτό θα γίνει όταν είμαστε έτοιμοι και σίγουροι πως το Κέντρο δεν θα μας «κλειδώσει απ’ έξω» και πως όλοι οι κανόνες είναι σωστά φτιαγμένοι. Σε αυτό το σημείο δουλεύουμε πάντα σε τοπικό επίπεδο και φροντίζουμε να έχουμε φυσική πρόσβαση στο Κέντρο.

Επιτρεπόμενη πρόσβαση

Η πρόσβαση στο Κέντρο, στην κονσόλα ή τη διεπαφή ρυθμίσεων μέσω web, μπορεί να ρυθμιστεί και να επιτρέπει πρόσβαση από συγκεκριμένη στατική IP ή ακόμα καλύτερα από το εσωτερικό δίκτυο LAN και μόνο από εκεί. Συνιστάται να «κόβουμε» την πρόσβαση από τον έξω κόσμο. Το Κέντρο μπορεί έτσι να παραμετροποιείται μόνο από το LAN ή και από VPN σύνδεση (που δρομολογείται στο LAN). Ανάλογα πάντα με τη διανομή, βρίσκετε το αρχείο στο οποίο είναι γραμμένος ο κανόνας για το ποια δίκτυα επιτρέπονται να έχουν πρόσβαση και ποια όχι. Σαν παράδειγμα, ψάχνετε μέσα στο αρχείο sip.conf για κάτι σαν το παρακάτω κείμενο:

deny=0.0.0.0/0.0.0.0
permit=xxx.xxx.xxx.xxx/255.255.255.255

το οποίο σημαίνει ΄΄απαγορεύεται η πρόσβαση σε όλα τα δίκτυα εκτός από την IP xxx.xxx.xxx.xxx΄΄. Το συγκεκριμένο παράδειγμα χρησιμοποιείται και σε άλλες παραμέτρους του Κέντρου. Είναι πολύ σημαντικό να διαβάζετε τα σχόλια μέσα στα αρχεία που τροποποιείτε, καθώς φέρουν πληροφορίες μέσω σχολίων, για το τι είναι αυτό που αλλάζετε και δίνουν συχνά παραδείγματα. Με αντίστοιχους κανόνες μπορείτε να ρυθμίσετε από ποια IP μπορεί να γίνεται registration συσκευής και να ρυθμίζονται οι επιτρεπόμενες IPs για τη διασύνδεση των trunks. Για παράδειγμα:

[provider-of-VoIP-service]
type=peer
context=provider-input
permit=A.B.C.D/255.255.255.0 (<=== όπου A.B.C.D η διεύθυνση IP του παρόχου VoIP)
insecure=port,invite
.
Οι ρυθμίσεις συνήθως δίνονται από τον πάροχο VoIP τηλεφωνίας. Αν η διασύνδεση αφορά σε Κέντρα και όχι τερματικό σταθμό τερματισμού κλήσεων, υπάρχουν πάρα πολλά παραδείγματα και οδηγοί στο ίντερνετ, που ακολουθούν ανάλογες ρυθμίσεις.

Στο πρώτο μέρος της διασφάλισης Τηλεφωνικού Κέντρου έχουμε παρουσιάσει τη λογική του μοντέλου. Βασικός στόχος είναι να αποτρέψουμε τον επιτιθέμενο να ασχοληθεί με Τηλεφωνικό Κέντρο, δίνοντάς του να καταλάβει πως δεν είναι εύκολος στόχος. Σε αυτό το άρθρο ασχοληθήκαμε με τα βασικά περί ασφάλειας και με ρυθμίσεις που αφορούν στο λειτουργικό, τον πυρήνα, τις υπηρεσίες, το εσωτερικό δίκτυο και την επιτρεπόμενη πρόσβαση. Στο δεύτερο μέρος θα παρουσιάσουμε τη συνέχεια της υλοποίησης και θα ασχοληθούμε με ό,τι αφορά στον ψηφιακό κόσμο που υπάρχει στην εξωτερική πλευρά του δικτύου.

Του Αλέξανδρου Σουλαχάκη